Der häufigste Einstiegspunkt, um die Informationssicherheit eines Unternehmens zu gefährden, sind die Mitarbeitenden. Daher bedarf es regelmässiger Sensibilisierungsmassnahmen, um das Wissen und dadurch die Awareness auf dem gewünschten Stand zu halten. Beim Auftraggeber aus dem öffentlichen Sektor gibt es kein übergeordnetes Awareness-Konzept. Daher wurde die Notwendigkeit erkannt, dass auf der Ebene des Departments ein solches Konzept erarbeitet wird. Das Ziel dieser Arbeit ist es, ein Konzept bereitzustellen, um die Erarbeitung von Sensibilisierungsmassnahmen anzuleiten.

Das Konzept wurde nach dem Design Science Research Ansatz von Alan R. Hevner erarbeitet. In einem ersten Schritt wurden die Grundlagen der aktuellen Literatur analysiert und die Ausgangslage des Unternehmens anhand interner Unterlagen und mit Hilfe eines Interviews erfasst. In einem zweiten Schritt wurde das Konzept mit den einzelnen Aufgaben ausgearbeitet. Anschliessend wurde das Konzept durch eine Fachpersonen der kantonalen IT-Abteilung einer Evaluation unterzogen. Die Anpassungen und Korrekturen aus dieser Evaluation wurden dann im Konzept eingearbeitet.

Als Ergebnis wurde ein Konzept erstellt, dem der Deming-Zyklus zugrunde liegt. Mithilfe dieses Konzepts wird die Erarbeitung von departementsweiten Awareness-Kampagnen angeleitet und unterstützt. Über dem gesamten Zyklus stehen eine übergeordnete Marketing-Kampagne und eine übergeordnete Zielgruppenfestlegung und -analyse. Jeder Phase des Zyklus sind Aufgaben zugeteilt, welche zur Erarbeitung einer Sensibilisierungsmassnahme nötig sind. Die Wissensziele für jede Zielgruppe werden mit Hilfe der Taxonomiestufen nach Bloom festgelegt, damit die Zielsetzung nachvollziehbar festgelegt und anhand von Kategorien strukturiert vorgenommen werden kann. Die Inhalte werden in Zusammenarbeit mit verschiedenen Stellen erarbeitet und für unterschiedliche Kommunikationskanäle aufbereitet. Die Messung jedes Durchgangs des Zyklus soll neben der Erfolgsmessung auch dazu dienen, den Mehrwert aufzuzeigen und damit die benötigte Unterstützung des Managements zu sichern, damit das Programm weiterhin durchgeführt werden kann. Die Wichtigkeit und Dringlichkeit der Thematik der Mitarbeitersensibilisierung wird mit der zunehmenden Digitalisierung weiter zunehmen.